Apache

WordPressログインセキュリティ強化ガイド:ベーシック認証設定方法完全版

WordPress記事投稿や更新には管理画面のログインページからログインしますが、ログインページのURLはWordPressを利用したことがある人にとっては推測できます。「ユーザー名」と「パスワード」がわからないとログインできませんが、悪質なユーザーからブルートフォースアタック(手あたり次第「ユーザー名」「パスワード」を入力してログインを試す手法)を掛けられる可能性もありセキュリティ対策を行いたいところです。

WordPressの管理画面へのログインは、セキュリティ対策が重要です。今回は、WordPressのログインページにベーシック認証を設定する方法について詳しく解説していきます。この方法は、WordPress経験者だけでなく初心者にも理解しやすく、実践的な知識として役立つでしょう。

ベーシック認証の基本

ベーシック認証とは、Webページへアクセスする際にユーザー名とパスワードを求めるセキュリティ機能の一つです。この方法をWordPressのログインページに適用することで、不正アクセスのリスクを軽減できます。

ベーシック認証ログイン用.htpasswdファイルを用意

まずは、ベーシック認証に必要な.htpasswdファイルを作成します。このファイルにはユーザー名と暗号化されたパスワードが記載されます。パスワードはMD5などの暗号化方式で生成する必要があります。オンラインのhtpasswdジェネレータを利用すると簡単です。例えば、以下のサイトが利用できます。

htpasswdジェネレータ

「ユーザ名」「パスワード」を入力し「暗号化」をクリックすると「右の文字列を.htpasswdファイルにコピー&ペーストしてください」部分に暗号化されたパスワードでベーシック認証ログイン用の「ユーザ名」「パスワード」が生成されます。

.htpasswdファイル例

<Files wp-login.php>
ユーザー名:暗号化されたパスワード
</Files>

.htaccessファイルの編集

次に、WordPressサイトのルートディレクトリにある.htaccessファイルを編集します。このファイルにベーシック認証の設定を追加することで、ログインページへのアクセスに認証を求めるようになります。以下のコードを.htaccessファイルに追記してください。
※念のため編集前の.htaccessファイルのバックアップをとってから行って下さい。

.htaccessファイル例

<Files wp-login.php>
AuthUserFile /***サーバーのパスを記載***/.htpasswd
AuthGroupfile /dev/null
AuthName "Please enter your ID and password"
AuthType Basic
require valid-user
</Files>

WordPress管理画面のログインページURLに「wp-login.php」が含まれるため、URLに「wp-login.php」がある場合ベーシック認証を掛ける記述となってます。
「/***サーバーのパスを記載***/」にはホスティングサーバーの.htpasswdファイルが置いてある場所(パス)を記述します。

ベーシック認証の動作確認

設定後、WordPressのログインページ(例:https://あなたのサイト/wp-login.php)にアクセスすると、ベーシック認証のポップアップが表示されます。ここで.htpasswdファイルに設定したユーザー名とパスワードを入力すると、WordPressのログインページにアクセスできるようになります。

ベーシック認証イメージ

 

.htpasswdファイル作成時の「ユーザー名」「パスワード」入力するとWordPressログインページにアクセスできます。

まとめ

WordPressの管理画面への不正アクセスを防ぐため、ベーシック認証の設定は非常に有効です。この記事を参考に、ぜひあなたのサイトのセキュリティ強化に役立ててください。

 
※流用される場合は自己責任でお願いします。